🌍
Français
ok, pardon, alors ton pb est traité là : http://www.z0rglub.com/phpwebgallery/fo … .php?t=378
Après modification du code .. (dans les lignes 560 ..) je me suis demandés pourquoi ca ne marchait pas .. En fait par commentaire de la photo je voulais parler du commentaire que l'admin rentre dans l'administration pour commenter une photo.. et toi tu as compris commentaire rentré par les visiteurs ou membres..
Je suis tout a fait d'accord dans ce cas pour ne pas activer l'interpretation des balises HTML mais dans la partie ADMIN .. Quand meme .. !!
Bon sans ca c'est toujours la meme fonction je pense ..
Je ferai ca au calme demain ..
Aller encore merci ..
Je me doutais bien que c'etait question de secu..
Merci bien
tu regardes pas le code au bon endroit. En effet, là tu regardes l'endroit où le commentaire est affiché. Mais en fait, ce qu'il faut voir c'est lorsque le commentaire est enregistré dans la base de données :
photo.php (version 1.2) line 166 :
$query = "insert into $prefixeTable"."comments ";
$query.= "(author,date,image_id,content) values ";
$query.= "('".$author."','".time()."','".$page['id']."','".htmlspecialchars( $HTTP_POST_VARS['content'], ENT_QUOTES)."');";c'est la fonction htmlspecialchars qui convertit les caractères liés aux balises HTML en caractères non HTML, pour éviter justement qu'on puisse mettre du HTML dans les commentaires... Question de sécurité.
Si tu veux qu'on puisse mettre du HTML dans les commentaires utilisateurs, remplaces le code d'au-dessus par
$query = "insert into $prefixeTable"."comments ";
$query.= "(author,date,image_id,content) values ";
$query.= "('".$author."','".time()."','".$page['id']."','".$HTTP_POST_VARS['content']."');";dans photo php l 370
if ( $page['comment'] != "" )
{
echo "<div class="commentImage">";
if ( $page['cat'] == 'search' )
{
echo replace_search( $page['comment'], $HTTP_GET_VARS['search'] );
}
else
{
echo $page['comment'];
}
echo "</div>";
}
Pourquoi lorsque je met une balise HTML ds commentt ca ne marche pas ..?
ds mon cas un lien ..